Proveedor de servicios de SAML: configuración general
Los valores de configuración en este cuadro de diálogo identifican el proveedor de servicios para el que el proveedor de identidades genera aserciones.
casso1283
HID_service-provider-general
Los valores de configuración en este cuadro de diálogo identifican el proveedor de servicios para el que el proveedor de identidades genera aserciones.
Configuración general
Los valores de configuración General le permiten especificar información general sobre el proveedor de servicios.
A continuación se especifican los valores de configuración de esta ficha:
- NombreNombra al proveedor de servicios. Este nombre es único en todos los dominios afiliados.
- ID de proveedor de serviciosEspecifica un URI que identifica de forma única al proveedor de servicios, como, sp.example.com.
- Dirección URL de la autenticación: Especifica una dirección URL protegida que se utiliza para autenticar usuarios y crear una sesión cuando se solicita un recurso protegido. Si el modo de autenticación se establece como Local y un usuario no se ha conectado en la parte asertiva, los usuarios se envían a esta dirección URL.Esta dirección URL debe señalar al archivo redirect.jsp, a menos que se seleccione la casilla de verificación Utilizar dirección URL segura.Por ejemplo: http://myserver.idpA.com/siteminderagent/redirectjsp/redirect.jspmyserveridentifica el servidor web con el paquete de opciones del Agente web o la puerta de enlace de la federación. El archivo redirect.jsp se incluye con el paquete de opciones del Agente web o la puerta de enlace de la federación que se instala en el sitio de la parte asertiva.Proteja la Dirección URL de autenticación con una política de control de acceso. Para la política se debe configurar un esquema de autenticación, un territorio y una regla. Para agregar atributos de almacén de la sesión a la aserción, active la casilla de verificación Mantener variables de sesión de la autenticación, que es el valor establecido en el esquema de autenticación.
- casso1283ActivoIndica si la configuración de la federación heredada se está utilizando para una asociación específica. Si el Servidor de políticas está utilizando la configuración de la federación heredada, se debe verificar que esta casilla de verificación está seleccionada. Si se ha recreado una asociación federada con valores similares para la configuración de la identidad, como el ID del origen, se debe desactivar esta casilla de verificación antes de activar la asociación federada.SiteMinderno funciona con una configuración heredada y de asociación que utilicen los mismos valores de identidad, ya que se produce un conflicto de nombres.
- ActivadoHace que el Servidor de políticas y los Servicios web de la federación sean compatibles con la autenticación de los recursos del proveedor de servicios.
- Segundos del tiempo de desviaciónEspecifica el número de segundos (como un entero positivo) agregados y quitados de la hora del reloj actual. Este ajuste da cuenta de los proveedores de servicios con relojes que no están sincronizados con el proveedor de identidades. El tiempo de desviación y la duración de la validez determinan cómo el servidor de políticas calcula el tiempo total que una aserción es válida.Para determinar la validez de una aserción, el tiempo de desviación se quita del tiempo de generación de la aserción (IssueInstant) para obtener el tiempo NotBefore. El tiempo de desviación se agrega a la duración de la validez e IssueInstant para obtener el tiempo NotOnOrAfter. Las ecuaciones siguientes ilustran cómo se utiliza el tiempo de desviación:
- NotBefore=IssueInstant - Tiempo de desviación
- NotOnOrAfter= Duración de la validez + Tiempo de desviación + IssueInstant
- Versión de SAMLEspecifica la versión SAML (deshabilitada; el valor 2.0 predeterminad indica que las aserciones enviadas a este ID de proveedor de servicios deben cumplir con la versión 2.0 de SAML).
- DescripciónDe forma opcional se puede incluir una descripción breve del proveedor de servicios.
- ID de proveedor de identidadEspecifica un URI que identifica de forma única al proveedor de identidades, como, idp.ca.com. Este valor de URI se convierte en el valor del campo Emisor en la aserción.
- Dirección URL de la aplicación(Opcional) Identifica la dirección URL protegida para una aplicación web personalizada que se utiliza para proporcionar atributos de usuario al servicio inicio de sesión único. La aplicación puede estar en cualquier host de la red.Los atributos de la aplicación web especificados en este campo se ponen a disposición del Generador de aserciones y, a continuación, el complemento Generador de aserciones los coloca en la aserción de SAML. Cree el complemento e intégrelo conSiteMinder.La aplicación Servicios web de la federación ofrece aplicaciones web de muestras que se pueden utilizar como base para la aplicación web. Son:http://servidor_idp:puerto/affwebservices/public/sample_application.jsphttp://servidorf_idp:puerto/affwebservices/public/unsolicited_application.jspservidor_idp:puertoIdentifica el servidor web y el puerto que aloja el paquete de opciones del Agente web o la puerta de enlace de la federación.
- Utilizar dirección de URL seguraEsta función indica al servicio de inicio de sesión único de que solo cifre el parámetro de la consulta SMPORTALURL.Un parámetro SMPORTALURL cifrado impide que un usuario malintencionado modifique el valor y redirija los usuarios autenticados a un sitio web malicioso.SMPORTALURL se añade a Dirección URL de la autenticación antes de que el explorador redirija al usuario para establecer una sesión. Después de que el usuario se autentique, el explorador redirige al usuario de vuelta al destino especificado en el parámetro de la consulta SMPORTALURL.Si selecciona la casilla de verificación Utilizar dirección URL segura, complete los pasos siguientes:1. Establezca el campo Dirección URL de la autenticación como la dirección URL siguiente: http(s)://servidor_idp:puerto/affwebservices/secure/secureredirect2. Proteja el servicio web secureredirect con una política.Si la parte que afirma ofrece servicio a más de una parte confidente, la parte que afirma probablemente autentica distintos usuarios para estos partners diferentes. Como resultado, para cada dirección URL de la autenticación que utilice el servicio secureredirect, se incluye este servicio web en un territorio diferente para cada partner.Para asociar el servicio secureredirect con territorios diferentes, modifique el archivo web.xml para crear distintas asignaciones de recursos. No copie el servicio web secureredirect en ubicaciones diferentes del servidor. Busque el archivo web.xml en el directorioweb_agent_home/affwebservices/WEB-INF, dondeweb_agent_homees la ubicación de instalación del agente web.
- Dirección URL de la autenticaciónEspecifica una dirección URL protegida que se utiliza para autenticar usuarios y crear una sesión cuando se solicita un recurso protegido. Si el modo de autenticación se establece como Local y un usuario no se ha conectado en la parte asertiva, los usuarios se envían a esta dirección URL.Esta dirección URL debe señalar al archivo redirect.jsp, a menos que se seleccione la casilla de verificación Utilizar dirección URL segura.Por ejemplo: http:///siteminderagent/redirectjsp/redirect.jspmyserveridentifica el servidor web con el paquete de opciones del Agente web o la puerta de enlace de la federación. El archivo redirect.jsp se incluye con el paquete de opciones del Agente web o la puerta de enlace de la federación que se instala en el sitio de la parte asertiva.Proteja la Dirección URL de autenticación con una política de control de acceso. Para la política se debe configurar un esquema de autenticación, un territorio y una regla. Para agregar atributos de almacén de la sesión a la aserción, active la casilla de verificación Mantener variables de sesión de la autenticación, que es el valor establecido en el esquema de autenticación.
Los valores de configuración General también incluyen las secciones siguientes:
- RestriccionesPermite configurar restricciones de la dirección IP y de tiempo para la política de generación de aserciones del proveedor de servicios.
- Tiempo
- EstablecerAbre el cuadro de diálogo Tiempo para que se pueda configurar la disponibilidad del partner de recursos. Cuando se agrega una restricción de tiempo, el proveedor de servicios solamente funciona durante el período especificado.
- Borrar
- Direcciones IP
- AgregarAbre un cuadro de diálogo Add IP Address (Agregar dirección IP), donde se puede crear una restricción de la dirección IP.
- Configuración avanzadaLa sección Avanzada permite configurar las funciones siguientes:
- Complemento Generador de asercionesIdentifica un complemento Generador de aserciones desarrollado de forma personalizada que se desarrolla mediante la API del complemento de Generador de aserciones. El complemento Generador de aserciones es una función opcional.
- ProxyIdentifica el servidor proxy entre el cliente y el sistema donde se ejecutan los Servicios web de la federación, si es aplicable.
- Configuración avanzada del inicio de sesión únicoEspecifica las direcciones URL personalizadas para los errores de estado HTTP.SiteMinderpuede redirigir al usuario a una página de error personalizada para realizar más acciones. Las direcciones URL personalizadas son opcionales.
Proveedor de servicios de SAML: configuración avanzada
Valores de configuración del complemento Generador de aserciones
El área Complemento Generador de aserciones incluye los valores de configuración siguientes:
- Nombre completo de la clase de JavaEspecifica el nombre de la clase de Java completamente cualificado del complemento Generador de aserciones.
- ParámetrosSi se introduce un valor en el campo Nombre completo de la clase de Java, se especifica que una cadena de parámetros deSiteMinderse transfiere al complemento especificado.
- Servidor proxyCuando la red tiene un servidor proxy entre el cliente y el entorno operativo de , especifique las partes de esquema y autoridad de la dirección URL como, por ejemplo,protocol:authority. El esquema es http: o https: y la autoridad es o //host.dominio.com:puerto. Por ejemplo, http://example.ca.com.
Los servicios web de la federación están disponibles en un sistema donde reside el paquete de opciones del Agente web o la puerta de enlace de la federación.
Proveedor de servicios SAML: Advanced SSO Configuration (Configuración avanzada del inicio de sesión único)
La sección Advanced SSO Configuration (Configuración avanzada del inicio de sesión único) permite configurar las funciones siguientes:
- El contexto de autenticación solicitada.
- Un uso para la aserción.
- Redirige las direcciones URL para el tratamiento de errores.
- Uso del atributo SessionNotOnOrOAfter en una aserción de SAML.
Este diálogo contiene los siguientes valores de configuración:
- Ignorar AuthnContext solicitadoDetermina cómo se procesa una transacción si el SP incluye el elemento <RequestedAuthnContext> en un mensaje AuthnRequest al pedir una aserción.El términocontexto de autenticacióndescribe cómo se autentica un usuario en un IdP. Este elemento es una solicitud del SP que indica los requisitos de la declaración AuthnContext que el IdP debe devolver en la respuesta de la aserción.Si la casilla de verificación se selecciona, se indica al IdP que ignore el elemento <RequestedAuthnContext> del mensaje AuthnRequest que recibe del SP. La federación heredada no es compatible con el uso del elemento <RequestedAuthnContext> en una AuthnRequest, pero si se selecciona esta casilla de verificación se evita que la transacción produzca un error.Si esta casilla de verificación no se selecciona (valor predeterminado) y la AuthnRequest entrante contiene el elemento <RequestedAuthnContext>, la transacción produce un error.
- Establecer condición OneTimeUseIndica al SP que utilice la aserción inmediatamente y que no la conserve para un uso futuro. La aserción se destina para un solo uso. La condición OneTimeUse es útil porque la información de una aserción puede cambiar o caducar y el SP utiliza una aserción con información actualizada. En lugar de reutilizar la aserción, el SP debe solicitar una aserción nueva al IdP.
- Habilitar dirección URL del error del servidorPermite redirigir un error del servidor.
- Dirección URL de redirección del error del servidor
Por ejemplo: http://www.redirectmachine.com/error_pages/server_error.html - Habilitar dirección URL de la solicitud no válidaPermite redirigir un error de solicitud no válido.
- Dirección URL de redirección no válida de la solicitud
Por ejemplo: http://www.redirectmachine.com/error_pages/invalidreq_error.html - Habilitar dirección URL del acceso no autorizadoPermite redirigir un error de acceso no autorizado.
- Dirección URL de redirección del acceso no autorizado
Por ejemplo: http://www.redirectmachine.com/error_pages/unauthorized_error.html
Campos Modo
Para cada dirección URL, se puede seleccionar un modo mediante el cual el explorador redirige el usuario.
302 No hay datos.
Redirige el usuario mediante una redirección HTTP 302.
SiteMinder
dirige al usuario con una cookie de sesión. SiteMinder
no añade ninguna información adicional a la dirección URL de redirección.- Método HTTP PostRedirige el usuario mediante el protocolo Método HTTP Post. Cuando el usuario se redirige a la dirección URL de la página de error personalizada, los datos siguientes, si están disponibles, se añaden a la dirección URL de redirección y, a continuación, se publican en una página de error personalizada:
- TARGET
- AUTHREASON
- CONSUMERURL
- SAMLRESPONSE
- IDPID
- SPID
- PROTOCOLBINDING
Duración de la validez de la sesión del SP
Determina el uso del atributo SessionNotOnOrOAfter en una aserción. Establezca este valor para determinar si el IdP agrega el atributo SessionNotOnOrOAfter a una aserción de SAML.
Estos valores de configuración solo están disponibles en el proveedor de identidad de
SiteMinder
. SiteMinder
indica al proveedor de identidad qué valor se establece para el parámetro SessionNotOnOrAfter en la aserción. La configuración no establece ningún valor de tiempo de espera en el SP. Si
SiteMinder
está actuando como un proveedor de servicios, ignorará el valor de SessionNotOnOrAfter. En cambio, un proveedor de servicios de SiteMinder
establece tiempos de espera de sesión en función del tiempo de espera del territorio. El tiempo de espera del territorio corresponde al esquema de autenticación de SAML configurado que protege el recurso de destino.Opciones:
Utilizar la validez de la aserción
Calcula el valor de SessionNotOnOrAfter que está basado en la duración de la validez de la aserción.
Omitir
Le encarga al IdP que no incluya el parámetro SessionNotOnOrAfter en la aserción.
Sesión del proveedor de identidades
Calcula el valor de SessionNotOnOrAfter que está basado en el tiempo de espera de la sesión del proveedor de identidad. El tiempo de espera se configura en el territorio del IdP la dirección URL de la autenticación. Mediante esta opción se pueden sincronizar los valores de tiempo de espera de sesión del SP y el IdP.
Personalizado
Le permite especificar un valor personalizado para el parámetro SessionNotOnOrAfter en la aserción. Si se selecciona esta opción, introduzca un tiempo en el campo Custom Assertion Session Duration (Duración de la sesión de aserción personalizada).
Duración de la sesión de aserción personalizada (minutos)
Especifica la cantidad de tiempo (en minutos) establecida para el parámetro SessionNotOnOrAfter en la aserción. Si el atributo está en la aserción, esta configuración determina la duración de la sesión entre el usuario y el IdP. Designe cualquier cantidad de tiempo que se adapta a su entorno.